TKK | Tietoverkkolaboratorio | Opetus

Luento: ip-turva

Verkkoyhteydet ja turvallisuus S-38.188 Tietoliikenneverkot Markus Peuhkuri
Luennon aiheet Etäyhteydet WWW-palvelimet OVT-yhteydet Järjestelmien suojaus ongelmat ratkaisukeinot
Yhdistämistekniikat Valintaiset yhteydet POTS (0,3 - 56 kbit/s) Datex (1,2 - 9,6 kbit/s) Diginet (1,2 - 64 kbit/s) ISDN (BRI: 64; 128 kbit/s PRI: n*64 kbit/s; n<=30) radioverkot (0,3 - 14,4 kbit/s) Kiinteät yhteydet galvaaninen yhteys (19,2 - 2048 kbit/s) piirikytkentäinenyhteys (n*64 kbit/s) pakettiverkko [x.25/x.32] (1,2 kbit/s - 2048 kbit/s) kehysvälitteinen verkko (64 kbit/s - 2 Mbit/s) soluvälitteinen verkko (2 Mbit/s -)
Valintaiset yhteydet Puhelinverkko (0,3 - 56 kbit/s) tarjoaa 3,1 kHz:n (300 - 3400 Hz) taajuuskaistan datasiirtoon käytettävä modeemia maksimissaan 33 kbit/s molempiin suuntiin riippuva yhteyden laadusta voidaan tehostaa pakkauksella (1,5 - 2 x) yhteydenotto ei 100 % luotettava kytkentäaika pitkähkö (15 - 30 s) saatavissa kaikkialle, maailmanlaajuiset yhteydet peruskustannukset edulliset käyttökustannus yhteysajan perusteella
Valintaiset yhteydet... Datex (1,2 - 9,6 kbit/s) nopea kytkentä, pohjoismainen aloitusmaksu + kk-maksu + yhteyden luominen + yhteysaika Diginet (1,2 - 64 kbit/s) digitaalisen puhelinverkon avulla toteutettu datasiirtopalvelu kehitetty "ISDN:ää odotellessa"
Valintaiset yhteydet/ISDN Integrated Services Digital Network perusliittymä (2B+D, Basic Rate Interface) 2*64 kbit/s data, 16 kbit/s merkinanto järjestelmäliittymä (30B+D, Primary Rate Interface) 30*64 kbit/s data, 64 kbit/s merkinanto tukee eri palveluja (esim 3.1 kHz puhe ja 64 kbit/s digitaalinen yhteys) tieto tyypistä (puhe/data) välittyy verkossa: modeemien kättelyvaihe jää pois kytkeytyminen nopeaa (0,3 - 3 s) mahdollistaa paremmin tarvemukaisen yhteyden muodostuksen
…ISDN useita yhteyksiä voidaan ryhmittää nopeammaksi yhteydeksi peruskustannuksiltaan POTS:a kalliimpi liittymismaksu ja kk-maksu suurempia päätelaitteet merkittävästi kalliimpia data-liikennöinti kalliimpaa ulkomaanyhteydet 5-20 % kalliimpia
Valintaiset yhteydet.../radioverkot analogiset verkot (NMT, ARP, VHF-verkot) puheen siirtoon tarkoitetuissa verkoissa voidaan käyttää valintaisen puheliverkon modeemeja radiotien häiriöt poikkeavat langallisista yhteyksistä virheenkorjauskehyksen oltava pienempi [MNP10] DMS-modeemi NMT-verkossa (600 bit/s) NMT-yhteydet toimivat noin 7200 bit/s tiedon pakkaus ja salaus
Radioverkot digitaaliset verkot (GSM) läpinäkyvä/ei-läpinäkyvä siirto nopeus maksimissaan 9,6 kbit/s [12 kbit/s] analogisiin modeemeihin modeemipankin kautta ISDN-yhteydet V.110-sovituksella
Kiinteät yhteydet Galvaaninen yhteys (19,2 - 2048 kbit/s) rakennetaan itse tai vuokrataan kaapeliyhteys käytetään kantataajuusmodeemeja, pitkillä yhteyksillä kantoaaltomodemeja nopeus laskee etäisyyden kasvaessa yleensä mahdollista vain saman keskuksen alueella (max 10 km) radiolinkit vaatii linkkitason protokollan käyttöä asennusmaksu+kk-hinta
Ky / piirikytkentäinen Piirikytkentäinen yhteys (n*64 kbit/s) yhteys asiakkaalta kantataajuusmodeemilla (kuten gy) tai nopeammissa yhteyksissä kuidulla pisteeseen, jossa data liitetään PCM-yhteyksiin puhelinverkossa on varattu kiinteät PCM-aikavälit yhteyttä varten kapasiteetti on varattuna vaikkei liikennettä olisikaan viive pieni kuten galvaaninen yhteys, mutta laajemmalle alueelle vaatii linkkitason protokollan käyttöä asennusmaksu+kk-hinta
Ky / pakettiverkko Pakettiverkko (1,2 kbit/s - 2048 kbit/s) yhteys asiakkalta lähimpään X.25-solmuun piirikytkentäinen jokainen solmu vastaa paketin välittämisestä eteenpäin vaatii muistia solmuissa aiheuttaa viivettä x.32: valintainen yhteys kansainväliset yhteydet laajalle asennusmaksu + kk-hinta + yhteysaika + siirretty tietomäärä
Verkkojen vaihtoehdot Modeemilinjat puhelinverkossa yhteydet kaikilta-kaikkiin kaistanleveys, kiinteä kaista, hallinta puutteelline Kiinteät vuokralinjat eri linjanopeuksia, hallinta eri tasoilla kiinteä kaista (vajaakäyttö), kahden pisteen välinen PCM (E1) multiplexerillä suuri siirtonopeus (1,5-2Mb/s), useita yhteyksiä samassa liittymässä, hallinta kiinteä kaista, kahden pisteen välinen
Verkkojen vaihtoehdot ISDN / kytkentäinen data (64k-2Mb/s) kaistanleveys haluttaessa, eri yhteydet kutsutasolla kiinteä kaista kutsutasolla, huono saatavuus X.25 pakettipohjaisuus hyödyntää kaistanleveyden, yhteydet kaikilta-kaikkiin, virheenkorjaus raskas protokolla hidastaa (< 256 kb/s (2Mb/s )) ja lisää kustannuksia
Frame Relay Pakettivälitys (-kehys) tilastollinen kanavointi yhteyksillä tukee purskeista liikennettä Virtuaaliyhteydet luotavissa verkonhallinnalla (PVC) / valintaisesti (SVC) kehyksessä yhteystunniste DLCI Määrittelee ANSI: T1.602, T1.606, T1.607-1990, T1S1/91-659, T1.617, T1.618 ITU: I.122, Q-922, Q.933 pohjautuu ISDN-määrittelyihin Rajapintamäärittely
FR-kehys LAPD-kehystys alkueroitin bitstuffing osoitekenttä osoite (DLCI) käsky/vastaus lisäosoitebitti ruuhkailmaisu eteen- ja taakse hylkäysprioriteetti datakenttä tarkiste loppueroitin
Liikenne verkossa Solmut välittävät DLCI-arvojen perusteella paikallisia Kehys on vioittunut ei alku- tai loppueroitinta tai alle 5 oktettia välissä ei tasamäärää oktetteja (bittejä 8*N) tarkistevirhe osoitekenttä virheellinen tai arvoa ei tueta koko liian suuri (sopimukseen nähden) Vioittunut kehys hylätään ei indikaatiota lähettäjälle / vastaanottajalle
Verkon toiminta Määritelty rajapinta verkon sisäinen toteutus voi olla erilainen paikallinen hallinta (DLCI=0) Solmussa tarvittaessa hylkääminen ei muutosta käyttäjädataan muutetaan DLCI:t
Liikenteen sääntely Solmut voivat ruuhkatilanteissa hukata kehyksiä ensin DE-bitillä varustetut Ilmoitus myös päätelaitteelle FECN: tässä suunnassa ruuhkaa esimerkiksi hidasta kuittausta BECN: vastasuunnassa ruuhkaa vähennä lähetysnopeutta ei velvoita päätelaitetta
Ruuhkan hallinta Liikennesopimus CIR <= linjanopeus [bit/s] CIR = Bc / Tc Bc + Be = sallittava purske Bc:n ylittävät kehykset merkitään DE Bc + Be:n ylittävät: hylätään tai DE
Kiint.../kehys... Soluvälitteinen verkko [ATM] (2 Mbit/s -) asiakas-asiakas -yhteys ATM-tasolla lähiverkkoemulointi, MPOA, … sama tekniikka kuin lähiverkossa tehokas kaistanleveyden käyttö tulevaisuuden tekniikkaa FR-toteutuksia ATM:n päällä
Lähiverkkojen yhdistäminen Siltaamalla yksinkertaisempi toimii kaikilla protokollilla enemän liikennettä Reittittämällä toimii reititettävillä protokollilla liikenteen suodatus levitysviestit eivät leviä (kuin hallitusti) varayhteydet ja kuormanjako helpompaa laajoissa verkoissa ainoa vaihtoehto
WWW-palvelinvaihtoehdot Oma palvelin vaatii kiinteän yhteyden oma ylläpito liitettävyys yrityksen tietojärjestelmiin sekä sisäinen että ulkoinen tiedotus myyntipalvelu, helpdesk Palvelun osto joko palvelintilan vuokraus tai "täyspaketti" liitettävyys tietojärjestelmään huono (staattinen tieto) turvallinen vaihtoehto pieni panostus, jos tutkitaan mahdollisuuksia
Yhteydet liikekumppaneihin OVT/EDI kauppa (erit. tukku-) edelläkäviänä, kuljetus ja teollisuus imussa pankkiyhteydet merkittävin (2/3 tilisiirroista konekielisiä) oman toiminan tehostaminen ja asiakassuhteiden kehittäminen tiedonhallinnan parantaminen ja asiakastyytyväisyys uudet toimintamahdollisuudet, virheiden väheneminen EDIFACT-muunnin oma tai palveluntarjoajan hallinnassa
Yhteydet liikekumppaneihin Reititinverkot X.25 Kiinteät yhteydet Internet joustavin tietoturvaongelmat ovatko muutkaan viestinvälitysjärjestelmät turvallisia?
Miksi järjestelmän suojaaminen 80 % havaitusta yrityksistä pääsee järjestelmään Keitä te ootte… teinejä, joilla on modeemi (lähinnä elokuvissa) ilkivaltaa, tageja omat työntekijät palkkakräkkerit tietokauppiaat kilpailijat tiedustelupalvelut
Millä suojataan Jokainen kone turvallinen käytännössä mahdoton heterogeenisessa ympäristössä Osa koneista turvallisia liikenne tietyille/ltä koneilta estetään Verkon eristäminen kaikki liikenne yhdyskäytävän kautta
Miksi suojataan Haavoittuvat TCP/IP -palvelut suunniteltu käytettäväksi "turvatussa" ympäristössä: luottaminen tiettyihin osoitteisiin NIS, NFS, SNMP, r-UNIX Salakuuntelun helppous suurin osa liikenteestä salaamatonta Suojauspolitiikan puute pääsy liian avoin Asetusten monimutkaisuus virheet yleisiä
TCP/IP: ongelmat IP Source Routing testaustarkotuksiin luotu TCP Sequence Number guess useat koneet luovat eri TCP-yhteysten sarjanumerot determinisesti: helpottaa yhteyden kaappausta UDP ei yhteyden luontia: hankalampi seurata ICMP redirect reitityksen muuttaminen eri koneelle
Ohjelmistot: ongelmat Logiikkavirheet puskurin ylivuotoja, väärää konfiguraatiota oletuksena Troijan hevoset suositussa ftp-palvelinohjelmassa virhe vapaa ohjelma <=> kaupallinen ohjelma Salakuuntelu usein helppoa pysyvät salasanat: kerran kuunneltu käytettävissä myöhmmin Autentikointi huonot / salakuunnellut salasanat useissa palveluissa koneen tarkkuudella: tietty IP-osoite
Ohjelmistot: ongelmat Tekeytymisen helppous IP source routing yhteyksien kaappaus koneiden sammuttaminen ei autentikointia: SMTP, NNTP LAN-palvelut, toisiinsa luottavat koneet ylläpidon helpottaminen: NIS, NFS käytön helpottaminen: rlogin Vaikeat konfiguraatio järjestelmät usein konfiguroitu maksimaalisen salliviksi Konepohjainen turvallisuus ei skaalaudu
Puskurin ylivuoto
ICMP redirect Reititin ilmoittaa sopivamman reitittimen tietylle koneelle useimmat uskovat mitä vain Saadaan lähettämään kaikki k.o. koneelle menevä liikenne toisen koneen kautta Suojautuminen: ei sallita verkon sisään vain k.o. reitin reitittmeltä vain eri verkossa olevalle kohteelle
Palomuuri Ei vain joku purkki Turvallisuuspolitiikka määrittää palvelut ja pääsyn niihin yleensä erottaa "turvallisen" ja "turvattoman" osan Perusteet käyttöön haavoittuvien palvelujen suojaaminen hallittu pääsy järjestelmiin keskitetty turvallisuus parempi yksityisyys loki ja tilastot politiikan täytäntöönpano
Palomuurityypit Pakettisuodin estää esimerkiksi sisäänsuuntautuvat SYN&!ACK-paketit tietyt protokollat / portit suorituskykyinen ei piilota verkon rakennetta helposti kierrettävissä pitävä konfigurointi vaikeaa Yhteystason suodin TCP-yhteydet luodaan verkon sisälle ja ulos yhteystason valvonta kierrettävissä: esimerkiksi irc-yhteydet tunneloidaan telnet-yhteyksille
Palomuurityypit... Sovellustason palomuuri jokaiselle sovellukselle oma yhdyskäytävä estää sovellusten käytön toisella porttinumerolla läpinäkyvä sovelluksille palvelimet verkon sisään suuntautuvalle liikenteelle piilottaa verkon sisäisen rakenteen rekisteröimättämien osoitteiden käyttö mahdollistaa lisäpalvelut virussuoja, surffausestot kiertotiet: modeemit, sähköpostiviestit, web-sivut sovellus(versio)riippuva
Yhteydenotot palomuurin sisään Pääte- tai webyhteydet kertakäyttöiset tai haaste-vastaussalasanat lista tai PIN-suojattu älykortti ei suojaa yhteyden kaappaamiselta => salatut yhteydet Tiedostojen siirto Modeemiyhteydet takaisinsoitto autentikoinnin lisäksi Yleiset palvelut mielummin palomuurin ulkopuolelle
Palomuuri Ongelmat vaikeuttaa haluttujen palvelujen käyttöön sovellusyhdyskäytäviä ei välttämättä kaikille takaovet olemassa modeemit pieni suoja organisaation sisältä osastojen väliset palomuurit
Pakettisuodin-palomuuri
Valvottu kone
Valvottu aliverkko
Verkkojen yhdistäminen Salattu yhteys palomuurista toiseen toimii vain saman valmistajan laitteiden välillä verkkoon X suuntautuva liikenne ohjataan tunneliin mahdollistaa epäluottettavan verkon käyttämisen yhdistämiseen Etäyhteydet salattuina
Yhteenveto Ulkoiset liitännät lisäävät verkon arvoa lisäävät turvallisuusriskejä Verkon turvallisuus on yhtä huono kuin huonoin lenkki yhden koneen murtaminen avaa usein pääsyn muihin koneisiin Perussäännöt verkon kriittisten osien ja palveluiden eristäminen varmuuskopiointi pääsylistojen päivitys ja tarkistus, minimipalvelut ohjelmistojen päivitys salauksen käyttö

Tietoverkkolaboratorio on nyt osa Tietoliikenne- ja tietoverkkotekniikan laitosta. Tällä sivulla oleva tieto voi olla vanhentunutta.

Kurssien ajantasainen tieto on MyCourses-palvelussa.

Tämän sivun sisällöstä vastaavat ja Webmaster. Sivua on viimeksi päivitetty 03.12.1997 10:16. URI: http://www.netlab.tkk.fi/opetus/s38188/1997/luento13/index.shtml [ TKK > Sähkö- ja tietoliikennetekniikan osasto > Tietoverkkolaboratorio > Opetus ]

Kysy

Anna palautetta!